没有秘密

0

前几天,阿里云的部分服务出现故障,很多运行在阿里云上的网络服务受影响。看阿里云的公告是北京地区部分可用区受影响。

我有个网站和小程序放了阿里云,不过是放到了青岛机房,应该没有受的故障影响。但故障的当天有人加我微信,说网站不能登录了,想问问怎么回事。过了一会又发消息说可以了登录了,谢谢。

我是第二天才看到的消息,我想了想故障时间貌似跟阿里云故障时间类似,以为是受阿里云故障的影响,打算直接甩锅给阿里云的。

看了微信公众号后台的消息,发现还有几个人在反应网站打不开。好像阿里云的故障都修复了,我这小程序和网站还没恢复呢。自己试了下,访问网站无响应,小程序内容也打不开,连ssh远程终端也没有反应。

自己排查了一下原因,好像是服务器中病毒了,或者是被反射攻击了。原因是服务器的出口带宽一直是跑满的状态,服务器本身没有多大的负载,只是网络跑满了,没有空余宽带处理新请求了,新的请求没法连进来,好像是服务器无响应的样子。

结合阿里云一直发邮件说的疑似服务器对外进行反射攻击,阿里云自动拦截几个小时的外网UDP请求。那就想办法先登上服务器,然后找到占用网络带宽最多的进程先kill掉。

服务器重启了几次,服务器刚启动起来,带宽就跑满,从终端连ssh都没有任何机会。这种只能通过阿里云的VNC远程连接,用在线的web终端先连接上服务器,查到一个rpcbind的进程网络占用很高。

网上搜了一下,rpcbind服务有被利用进行UDP反射DDos的风险。如果服务器开启了UDP服务并开放了外网访问端口,黑客就可以通过扫描开放的默认111端口的UDP服务器,利用UDP反射放大DDos攻击原理发送虚假UDP请求,伪造的源IP地址,将请求中的源IP地址替换成攻击目标,反射服务器收到请求包发送响应来完成整个攻击流程。由于发送包的请求小于响应,所以最终达到反射放大的效果。据说检测到的最大反射效果能达到了28倍多。

简单点说就是被别人利用服务器上的开放服务 ,当了攻击用会的肉鸡,通过向服务器持续发送小的请求包,然后服务器再放大响应发送给被攻击者。不光自己服务器被占满,或许还有另外一台机器正在遭受我这两台服务器的攻击。

查到原因,干掉rpcbind服务进程就可以,为了安全和保险起见,根据安全建议,在阿里云的安全组里把对应的外网UDP端口禁止了,毕竟这个服务根本不需要外网使用。rpcbind进程kill掉就可以继续打开网站,能正常连接了。

对这种被变成肉鸡的服务器,自己用着也不太放心,但是也不想折腾重装服务器,先这样用着。在上面运行的网站和小程序也只是为了学习技术来做的。只要是测试一下自己的一些想法能不能走的通。

关于这个网站,我还想的是尽量隐藏一下背后的维护者身份,因为上面有一些内容是没有版权的,虽然是公开获得的,而且都是引用的源站资源,但也还是有些担心因为版权问题找到自己。今天看了一个新闻,说的就是胖鸟影视资源站关站的事。

想从网站的域名和站点内容里减少自己信息的暴露。实际上呢,尝试做了一段时间的信息隐藏,后来发现根本没法真正在互联网上隐藏掉自己痕迹。尤其是在国内,只要是你用你自己的身份来进行上网,买域名,备案,买服务器,管理网站,注册公众号,进行收款。所有的环节都需要实名认证相关的信息。

即便隐藏的好,做到通过正常手段查不到网站所有者信息,不在网站上留下任何关于自己的信息。但只要政府部门需要查找相关的信息,发个函就可以让备案机构,域名服务商,服务器服务商提供网站所有者信息,所以根本没法隐藏掉自己信息。想脱离关系最好的方式就是把网站一次性关闭。

现在我就是放在那不管理了,但好像没有什么一劳永逸的方式能解决一个互联网服务一直在运行,又不用人维护。还是要不定时的给服务器域名续费,经常还要处理这种被攻击,被入侵的事情。只能是相对的减少维持运行的工作,不做新的改动了而已。

即便如此,我在网站也没有留联系方式,公众号也没留联系方式。在公众号里只是转发了几篇小葱公众号的文章,还是有网友"都灵船长‘’顺着这些线索找到了我的微信号。又通过公众号的阅读原文链接找到了博客地址。

然后就通知我网站不能使用了,还挺着急,我跟都灵船长聊了一下。先问问他是如何找到我的?

他说,是通过公众号找到的微信号。

我说你还挺厉害的,是第一个找到我的网友,适合做社会工程学,适合做人肉搜索。

都灵船长问:你是码农吧?

我说,是。难道你也是?

都灵船长说,我不是,我是学机械的。

我说,我也是。

我又问了些关于网站使用的问题。都灵船长在公众号留言,文章留言,博客留言,加微信号留言。估计当时服务用不了,还是挺着急的。

像都灵船长这种用户也挺好,出了什么问题,不是觉得站长不行,而是想尽办法联系通知故障。而且也是懂得一些,比较好沟通。

上周也遇到一个这种懂行的人,但是就比较不好处理,为什么,我测试calibre-web的程序的时候,搭建了一个测试站,主要是测试如果有大量的图书资源,calibre-web的性能好不好。现在网站性能也不行,经常502,重启一次要半个小时。

测试的calibre-web站就一直放在那了,有个小少爷的用户看着挺好,先是下了几本书,后来又下载了几十本。最后好像觉得网站资源比较好,直接就镜像了一个网站,是小偷站的模式。

小偷站怎么做?就是只是把请求转发一下,中间替换一些自己的内容,比如把网站名给改掉,然后提供服务,很多东西还是用别人,类似把别人的水管剪了个洞,然后接个水龙头挂个牌子卖水,还不交水费。

我是怎么发现的呢?有一天我看统计,访问域名有些不是我自己的,那我就打开看了看,发现怎么长得这么像,内容都是一样的。我看了看,好像是做了个小偷站,这种站点我研究过实现方式,原理也都明白。直接就给把通道给屏蔽了。

过了几天,我又发现有人在疯狂下载网站的内容,大概跑了30多个G的流量。我为什么对流量比较敏感,因为那跑的都是钱,测试站的cdn加速是按照流量收费的,我定期会看看流量账单,防止被人恶意消耗费用。

看到以后我就去看是谁在疯狂下载,发现还是小少爷的账户,我就把他的账户禁了,然后也是通过类似都灵船长找我的方式找到了小少爷的微信。开始也是试了几个联系方式都没回复。加了微信说了情况,让他把采集停了,小少爷很快就不采集了,

我问小少爷,为啥要采集呢?屯那么多书你也看不完。(我建的那个calibre交流群的宗旨就是少屯书,多读书。)

小少爷说,我上次遇到一个这种网站,结果没几天就关了,为了防止关站,就想着把网站内容全采集下来。

我心想,关站就是你这种随便采集的人给网站带来的负面后果,说起来我也会采集一些别人网站的。

其实这种相互之间的的采集,囤积资源,导致很多站点会把过多的经历放到安全攻防上。为了防止少量的恶意用户带来的大量破坏,不得不在安全上投入大量时间和资源处理这种破坏。互联网服务出现安全问题被攻击、被拖库、被薅羊毛带来的影响太大了,很多创业团队就是吃亏在安全能力不够上,有时会变成不可承受。

偶尔想一想,普通网友因为网站服务不能用了就可以找到我。互联网上没有可以隐藏的秘密,只要你在网络上活动,就会被找到蛛丝马迹。你觉得你没有主动暴露,其实呢,已经暴露很多了。

我记得在小草论坛的技术讨论区上,大红鹰版主警告那些发帖带着公众号投稿就送注册邀请码的广告行为时是这样说的。

不反对你们发广告,但是你要清楚,你在这里发的公众号,都是在微信实名认证的。想找你,那是分分钟的事。

另外,别找我要邀请码,我没有!